ISO 27001: Introducción al Gobierno Corporativo TI

Un blog editado por ISOTools Excellence

SGSI

Blog especializado en Sistemas de Gestión
de Seguridad de la Información

cerrojo

ISO 27001: Introducción al Gobierno Corporativo TI

ISO 27001: Introducción al Gobierno Corporativo TI

ISO 27001

ISO 27001

Los Sistemas de Gestión de Seguridad de la Información pueden venir definidos por diferentes normas, dependiendo del ámbito en el que se quieran utilizar se usará la que más convenga, sin embargo el estándar internacional más usado en la norma ISO 27001.

El término de Gobierno Corporativo TI es una disciplina de gestión que se encuentra integrada en las prácticas llevadas a cabo por el Gobierno Corporativo de la empresa. El fin que persigue es poder ofrecer un marco para ayudar a que las áreas TI se alineen y cumplan todos los objetivos que hayan sido marcados, con lo que podrán demostrar, utilizando documentación contrastada, el impacto positivo que se genera en las inversiones llevadas a cabo.

Esta especialidad empieza a tener un mayor auge gracias a los escándalos financieros que se dieron lugar en el año 2002, por lo que nace con el principal objetivo de ofrecer confianza a los accionistas que se encuentren interesados en la gestión de la empresa y disminuir la inmensidad que existe normalmente entre las expectativas generadas por la organización dentro de las áreas TI y los resultados que se ofrecen realmente.

El primer factor que debe tener en cuenta el Gobierno Corporativo de TI es la obligatoriedad de saber y controlar el tipo de riegos operativo al que se enfrenta. El riesgo operativo es un término procedente de los sectores financieros y está referido a la necesidad de las organizaciones de comprender y gestionar los diferentes problemas o deficiencias que se encuentran asociadas a los procesos internos, a las personas, a los sistemas de información o a los factores externos. El riesgo operativo actúa como unión entre el gobierno Corporativo y la Gestión Estratégica de Seguridad, ya que el foco de riesgo operativo para poder controlarlo de una forma apropiada se tiene que plantear y actuar  sobre la seguridad de procesos, de personas y estructura organizativa.

El fin último perseguido por la Gestión Estratégica de Seguridad, es lo referente al marco de Gobierno Corporativo, es definir y cumplir los requisitos de calidad específicos de seguridad que facilitan a la empresa la alineación de sus requisitos de gestión de riesgo de negocio, consiguiendo  una visión objetiva del valor que aporta la fusión de la Gestión de Seguridad con la componente estratégica de la organización.

Para llegar a entender como los dos planteamiento anteriores se entrecruzan se debe tener en cuenta cómo se gestiona la estrategia de seguridad y aporta valor al Gobierno Corporativo. El valor nace de los diferentes elementos, como pueden ser:

  • Mejora de la eficiencia operacional
  • Reducción de costes
  • Crecimiento de confianza en la empresa

 

Además, existen elementos derivados que pueden aportar un valor añadido:

  • Involucrar el negocio a la hora de tomas decisiones relacionadas con la seguridad. Uno de los principales factores a tener en cuenta para alcanzar el éxito es la utilización de un idioma común, como es el estratégico, haciendo posible que los objetivos de Gestión de Seguridad se origina gracias a los objetivos de la organización. Se debe potenciar la trasparencia en las auditorías.
  • Se debe aportar información de Gestión de Seguridad, ya que existe una carencia de información que sufren diferentes áreas de dirección en lo que a este tema de refiere. No se trata de un problema nueva, ya que la medición de Gestión de Seguridad se convierte en un requisito fundamental  de la norma ISO-27001 y los cuadernos de buenas prácticas, y un elemento clave de una correcta conexión entre la estrategia seguida por el Gobierno Corporativo y la Seguridad, utilizando los indicadores cedidos por los Cuadros de Mando de Seguridad que forman parte de los Cuadros de Mando de la dirección de la organización. Existen diferentes indicadores que se tiene que estructurar en los siguientes niveles:
    • Negocio: se define lo que se espera de la Estrategia de Seguridad TI en el negocio.
    • Dirección IT: se encuentra definido los servicios esperados por los objetivos de TI en seguridad.
    • Servicio: se mide el rendimiento de los procesos.
    • Proceso: indica el rendimiento del proceso.
  • Automatización de los procesos IT, como consecuencia directa de la necesidad que existe de medir y gestionar de una forma fácil y sencilla los entornos complejos.
  • Controles llevados a cabo en el negocio, que se encuentren enlazados a él o planteados mediante activos en los que se apoyan los procesos de negocio y servicios de la empresa.  Se considera fácil de plantear, pero dicha aproximación supone un gran esfuerzo, ya que se deben realizar un replanteamiento del enfoque clásico y se deben central en el papel que tiene cada uno de los activos de la cadena de valor de la organización.

 

Para poder guiar la transición disponemos de diferentes metodologías y guías de buenas prácticas, que van desde el Gobierno Corporativo TI a la Gestión de Servicios.

La metodología de mayor implantación, en lo referente al Gobierno Corporativo de TI, es COBIT. Es un modelo desarrollado por el Gobierno de TI llevado a cabo por la Information Systems Audit and Control Association (ISACA) y el IT Governance Institute (ITGI).

Sin tener en cuenta la realidad tecnológica en cada caso, COBIT establece un conjunto de mejores prácticas para llevar a cabo la seguridad, la calidad, la eficacia y la eficiencia en TI que son necesarias para enfilar TI en el negocio, identificar riesgos, generar valor al negocio, gestión de recursos y medir el desempeño, cumplir metas y aumentar el nivel de madurez de los procesos de la empresa.

El marco certificable que recoge de forma global todos los requisitos y los procesos para dotar a una empresa de una Gestión de Seguridad es el de los Sistemas de Gestión de Seguridad de la Información según la norma ISO27001.

El Sistema de Gestión de Seguridad de la Información es una sucesión de procesos de gestión que se encuentran alineados con el Gobierno Corporativo de la empresa, creando un marco de selección de controles que abarca las diferentes áreas que tienen que ser revisadas por la entidad.

SGSI

El Software ISO 27001 facilita a las organizaciones la implementación de un Sistema de Gestión de Seguridad de la Información de una forma fácil y sencilla, ya que ofrece las herramientas necesarias para llevarlo a cabo.

Seguridad de la información
1 Star2 Stars3 Stars4 Stars5 Stars (No Ratings Yet)
Cargando...